Datenschutz 2013

- Monitoring, Outsourcing, Permission Outbound –

Contact Center unter Druck

Ansätze. Rechtsfragen. Verantwortlichkeiten.

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

Informatiker

Betriebswirte

Marketingexperten

Auditoren

interdisziplinäres

Team

Expertise

• Stellung externer Datenschutzbeauftragter (TÜV cert. / GDD cert.)

• Begleitung von Unternehmen bei der Durchführung von Zertifizierungen

• Penetrationstest der Online-Anwendungen sowie Social Engineering

• Aufbau und Prüfung von Compliance-Strukturen in Unternehmensorganisationen

• Individuelle Entwicklung von Compliance-Produkte insbesondere für Marketing und Datenschutz

Leistungsportfolio: ein Auszug

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

Welche Form muss ein Opt-In haben?

Grundsätzlich kann ein Opt-In auf jedem Weg, auf dem auch sonst eine rechtsverbindliche Erklärung abgegeben werden kann, erteilt werden zum Bsp. Fax, E-Mail, dtmf-Signal, mündlich, Postkarte, Eingabemaske etc.

Theoretisch sind auch Morsezeichen und Rauchzeichen möglich

Was umfasst ein Opt-In?

Leider gibt kein es „standard“ Opt-In. Was ein Opt-In umfasst ergibt sich allein

aus der Erklärung, die der Verbraucher frewillig abgegeben hat

Ist die Erklärung (wie fast immer) vom Werbetreibenden vorgegeben, muss

sie für den Kunden erkennen lassen, wofür er konkret einwilligt, also

theoretisch auch für alles

Wie heißt das Zauberwort: Transparenz!

Aber die Beweis-

barkeit spielt eine

entscheidende Rolle

Zusammengefasst

Opt-In darf kein vorab ausgefülltes (Pflicht-) Feld sein! Ja, bin ich ausdrücklich einverstanden, dass…

Belehrung über den genauen Inhalt und Zweck der gespeicherten Daten (Verwendung muss klar sein)

Explizite Zustimmung statt pauschaler Einwilligung (bei der Weitergabe der Daten an Dritte)

Grundsätzlich: Einwilligung bei E-Mail generell nur mit Double-Opt-In

Kopplungsverbot: Opt-In darf kein Teil der Zustimmung zu den AGB sein, (BGH 16.08.2008 Az. ZR 348/06)

Wie lang ist eine Einwilligung denn gültig?

Zu den Einwilligungserklärungen ein Exkurs in die Welt der Gerichte:

Zeitliche Angabe zum Opt-In 10 Jahre? LG Hamburg AZ: 312 O 645/02

Verlust der Gültigkeit eines Opt-In 2 Jahre? LG Berlin AZ: 15 O 653/03

Haltbarkeit ohne Nutzung eines Opt-In 1,5 Jahre? LG München I AZ: 17 HKO 138/10

Opt-In für die Werbung per Fax 4 Wochen? OLG Stuttgart (MMR 2008, 136)

Fazit:

Lange Inaktivität stellt ein Problem im Permission Marketing dar! Somit sollte der Werbetreibende durch regelmäßige

Kommunkation, inkl. der Widderrufsmöglichkeit, das Opt-In „aktualisieren“

Was sieht denn eine 100% Lösung im Datenschutz aus?

Datenschutzgesetz vs. Gesetz zum unlauteren Wettbewerb

Wechselwirkung zwischen dem BDSG und dem UWG

Eine im UWG nicht erlaubte Datenerhebung führt in der Regel zu einer Löschungspflicht nach Datenschutzgesetz!

Vorsicht: Aufbwahrungspflichten gemäß AO (Steuerrecht)

BDSG

Schutz der

Persönlickeit

UWG

Schutz des

Verbauchers

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

Worauf sollte im Contact Center geachtet werden?

Das BDSG versteht unter einem Auftragsverhältnis eine privilegierte Form der

Auslagerung von Datenverarbeitungsprozessen auf eine andere rechtliche Einheit!

Der 10 – Punkte Katalog des § 11 (2) BDSG muss sich

in den Vertragsklauseln wiederspiegeln!

Ist die Einschaltung von Subunternehmen zulässig?

Auftragnehmer Auftraggeber

Subunternehmer

weisungsbefugt

weisungsgebunden Stelle der

Datenverarbeitung Datenweitergabe

Da

ten

we

iterg

ab

e

Worauf sollte im Contact Center geachtet werden?

§ 11 (2) Satz 2: Der Auftrag ist schriftlich zu

erteilen…

bedeutet:

eigenhändige Unterschrift / Unterzeichnungen

auf derselben Urkunde gemäß § 126 (2) BGB

§ 126 (3) BGB: Unterschrift kann durch

elektronische Form ersetzt werden…

bedeutet:

Es muss eine qualifizierte, elektronische Signatur

von beiden Vertragspartnern verwendet werden

.

Die Dokumentation der datenschutzrelevanten Elemente des Vertrages, in dessen

Rahmen der Auftrag erteilt wird, hat nur zum Zwecke der Beweissicherung in

schriftlicher oder gleichwertiger Form zu erfolgen (Art. 17 Abs. 4 EG-DSRl).

Worauf sollte im Contact Center geachtet werden?

§ 11 (2) Satz 2: Der Auftrag ist schriftlich zu

erteilen…

bedeutet:

eigenhändige Unterschrift / Unterzeichnungen

auf derselben Urkunde gemäß § 126 (2) BGB

§ 126 (3) BGB: Unterschrift kann durch

elektronische Form ersetzt werden…

bedeutet:

Es muss eine qualifizierte, elektronische Signatur

von beiden Vertragspartnern verwendet werden

.

Die Dokumentation der datenschutzrelevanten Elemente des Vertrages, in dessen

Rahmen der Auftrag erteilt wird, hat nur zum Zwecke der Beweissicherung in

schriftlicher oder gleichwertiger Form zu erfolgen (Art. 17 Abs. 4 EG-DSRl).

Worauf sollte im Contact Center geachtet werden?

Anforderungen an die

Vertragsgestaltung

Sicherheitshalber Schriftformerfordernis beim Abschluss der ADV-

Verträge erforderlich, weil derzeit nicht hinreichend geklärt ist, was der

Gesetzgeber unter der „gleichwertigen Form“ versteht.

Schriftform wird als der sicherste Weg empfohlen.

Resultierende Pflichten der Vertragsparteien:

„Bei einer Rahmen- und Einzelvertragsstruktur ist darauf zu achten,

dass die gesetzlichen Vorgaben der Sache nach zum Teil

auftragsindividuell, d. h. im jeweiligen Einzelvertrag umgesetzt

werden müssen (Taeger/Gabel, BDSG, § 11 Rn. 55).“

Worauf sollte im Contact Center geachtet werden?

Rechtssicherheit der Verträge

Vermeidung von

Haftungsrisiken

kalkulierbarer Aufwand

hohe Zufriedenheit der

Kunden

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

Blick in die Zukunft

Geplante Änderungen im Datenschutzecht

Ablösung des nationalen Datenschutzrechts (BDSG) durch ein europäisches Datenschutzrecht. Die neuen Vorschriften sollen nicht nur für Unternehmen mit Sitz in Europa gelten, sondern für alle Firmen, die sich mit ihren Diensten an europäische Bürger wenden.

Wesentliche Punkte sind:

Risikobehaftete Datenverarbeitung: Ersetzen der betrieblichen Selbstkontrolle

durch eine Fremdkotrolle (Genehmigungspflicht durch zuständige

Datenschutzaufsichtsbehörde)

Sicherheitsverletzungen müssen Behörden und Betroffenen innerhalb von 24

Stunden gemeldet werden

Internetnutzer sollen jederzeit verlangen können, dass ihre Daten gelöscht

oder wieder herausgegeben werden, um sie dann zu einem anderen

Unternehmen mitzunehmen

verstoßen Unternehmen gegen Datenschutzvorgaben, drohen ihnen Strafen

bis zu eine Million Euro oder zwei Prozent des Umsatzes

2. Permission Marketing

3. Outsourcing

4. Monitoring 2013

1. Vorstellung DATATREE AG

5. Handlungshilfen

Handlungshilfen

Klären Sie immer zuerst:

Auf welcher Grundlage soll die Auskunft erfolgen?

Protokollieren Sie den Vorgang!!

Wie kann eine Anweisung an Mitarbeiter aussehen:

Mitarbeiter müssen sofort Ihren Vorgesetzten einschalten!

Mitarbeiter erklären sich mit keiner Maßnahmen einverstanden!

Mitarbeiter stellen fest, ob der Datenschutzbeauftragte des

Unternehmens informiert ist.

Mitarbeiter beantworten auf keinen Fall Fragen unmittelbar

alleine!

Vielen Dank

für Ihre

Aufmerksamkeit!

DATATREE AG

Bernd Fuhlert

Heubesstraße 10

40597 Düsseldorf

Telefon +49 (211) 598947 -50

Fax +49 (211) 598947 - 80